Myanmar, fuori Telenor, dentro M1 Group: il regime di sorveglianza alla fase 2

13 Luglio 2021 | di Riccardo Coluccini

Acinque mesi dal colpo di stato in Myanmar, l’opposizione pacifica al regime si è trasformata in resistenza armata. Il modo in cui la giunta militare birmana sfrutta le tecnologie europee è stato ricostruito in una precedente inchiesta di IrpiMedia realizzata insieme a Lighthouse Reports, The Intercept, Al Jazeera e OCCRP. Un mese dopo la pubblicazione, i timori che in Myanmar si costituisse uno Stato di sorveglianza si stanno concretizzando sempre di più. Il più recente segnale è dato dalla decisione di Telenor, operatore di telecomunicazioni norvegese, di vendere in fretta la propria divisione birmana, Telenor Myanmar, e andarsene dal Paese. In un comunicato dello scorso 8 luglio Telenor ha annunciato la cessione completa delle sue attività in Myanmar alla società M1 Group, holding con base in Libano, a fronte di un pagamento complessivo di 105 milioni di dollari (circa 84,5 milioni di euro), di cui 55 milioni da versare in differita in un periodo di 5 anni.

«La situazione in Myanmar è diventata negli ultimi mesi sempre più impegnativa per Telenor», ha dichiarato nel comunicato Sigve Brekke, presidente e amministratore delegato di Telenor Group. Le motivazioni sono tre: «la sicurezza del personale», «le condizioni normative» e «la conformità» alle regole dettate dalla giunta. «Abbiamo valutato tutte le opzioni e crediamo che una vendita della società sia la migliore soluzione possibile – ha aggiunto Brekke -. L’accordo per la vendita a M1 Group garantirà la continuità delle operazioni».

L’acquirente libanese M1 ha già legami con l’esercito birmano visto che in passato ha investito in un’azienda locale che si occupa di installare torri telefoniche e la rapida cessione di Telenor Myanmar ha generato nuovi timori per gli attivisti.

Telenor è entrata nel mercato birmano nel 2014 ed è una dei quattro operatori telefonici in Myanmar, assieme a Ooredoo del Qatar, Myanmar Posts and Telecommunications (MPT) e a Mytel, società di telefonia nata come joint venture tra le aziende di Stato controllate dai ministeri della difesa vietnamita e birmano. Fino a questo momento Telenor era stata costretta ad accettare ordini di rimozione e blocco di pagine internet senza pubblicare i decreti ricevuti dal Ministero.

Per approfondire

Myanmar, lo Stato di sorveglianza che aggira l’embargo dell’Ue

Il blocco europeo vieta l’export di beni dual use e altre tecnologie in quanto possibili strumenti di repressione. Documenti dei ministeri birmani però mettono in dubbio che sia stato rispettato

A maggio 2021 Telenor aveva tagliato ogni prospettiva futura per le sue attività in Myanmar, a fronte di una perdita stimata in 6,5 miliardi di corone norvegesi – quasi 7 milioni di euro – per il 2021, ma la situazione è precipitata negli ultimi due mesi al punto da costringere l’azienda norvegese a fare questa vera e propria svendita.

Ricatti e pressioni dell’esercito birmano

Una delle motivazioni che potrebbero aver spinto ad accelerare i tempi dell’operazione potrebbe essere dovuta alle recenti richieste del Tatmadaw, nome con cui è conosciuto l’esercito birmano, tornato al potere dopo il colpo di Stato del 1 febbraio.

Secondo quanto ricostruito da Reuters, i dirigenti stranieri delle principali aziende di telecomunicazioni in Myanmar sono stati informati dalla giunta che non avrebbero potuto lasciare il Paese senza un permesso speciale. Questa richiesta sarebbe arrivata intorno alla metà di giugno sotto forma di ordine riservato inviato dal Dipartimento delle Poste e Telecomunicazioni (PTD) – uno dei dipartimenti del Ministero dei Trasporti e Comunicazioni (MOTC), coinvolto nella repressione online e nell’acquisto di tecnologie di sorveglianza come ricostruito da IrpiMedia.

Una seconda lettera, inviata successivamente, avrebbe chiarito agli operatori telefonici di avere tempo fino a lunedì 5 luglio 2021 per implementare «un sistema per le intercettazioni». Secondo Reuters, questa richiesta era già stata fatta in precedenza e il sistema permetterebbe alle autorità di spiare le chiamate, i messaggi e il traffico internet. Conosciuto come sistema di Lawful Interception (intercettazioni legali, ndr), anche IrpiMedia ne aveva trovato traccia nei bilanci di previsioni sui quali è stata costruita l’inchiesta coordinata da Lighthouse Reports, non riuscendo però a confermare l’avvenuto acquisto del sistema di spionaggio per chiamate, messaggi e traffico internet.

Secondo quanto ricostruito dalla testata Frontier Myanmar – che ha parlato con un ufficiale della polizia e con un dipendente dell’operatore telefonico Myanmar Posts and Telecommunications (MPT) – lo scorso anno il Ministero dei trasporti birmano e la polizia nazionale avrebbero messo in piedi un team di cybersicurezza per monitorare le telefonate e i social media. Il team sarebbe però entrato in azione solo dopo un mese dal colpo di stato. La squadra di tecnici e spie sfrutterebbe una tecnologia in grado di monitorare e selezionare le conversazioni telefoniche di interesse effettuando una ricerca per parole chiave. Il monitoraggio si estende però anche ai social media. Secondo l’ufficiale di polizia contattato da Frontier Myanmar, il programma non era ancora stato esteso a tutti gli operatori e ne rimanevano fuori quelli stranieri, come Telenor e Ooredoo, quest’ultimo è un operatore con base in Qatar.

Telenor, le richieste dell’esercito birmano e il suo passato con i regimi autoritari

Il fatto che l’ordine sia partito dal Ministero sottolinea ulteriormente le criticità del contesto politico del Myanmar: l’esercito ha continuato a tenere il controllo sul Paese nascondendosi dietro la facciata della transizione democratica, controllo che è inserito persino nella Costituzione del 2008.

La situazione politica in Myanmar

Il Myanmar è un Paese del sud-est asiatico con una popolazione di circa 54 milioni di abitanti. Dopo aver ottenuto l’indipendenza dalla Gran Bretagna nel 1948 e aver formato un parlamento bicamerale, nel 1962 l’esercito compie un colpo di Stato che lascia il Paese sotto il controllo diretto dei militari fino al 2011. In quasi 50 anni, tra le violenze perpetrate dal Tatmadaw, nome con cui viene chiamato l’esercito birmano, ci sono le repressioni di proteste degli studenti negli anni ‘70 e il rifiuto dei risultati delle prime elezioni libere nel Paese avvenute nel 1990.

Solo nel 2011 il Tatmadaw inizia la transizione democratica cedendo il potere al governo civile, dopo l’introduzione nel 2008 di una nuova Costituzione. Questi sono gli anni in cui la premio Nobel Aung San Suu Kyi e il suo partito National League for Democracy (NLD) salgono al potere.

Il governo del NLD, però, pur segnando un’apertura al mondo esterno per il Paese, porta con sé ulteriori violenze: l’esercito e la polizia di frontiera hanno sottoposto la popolazione Rohingya – minoranza etnica di religione musulmana che vive nello stato del Rakhine, sulla costa ovest del Myanmar – a quello che le organizzazioni internazionali definiscono un vero e proprio genocidio.

Secondo alcune stime, almeno 6.700 Rohingya sono stati uccisi nel primo mese di violenze scoppiate nel 2017. Attualmente, più di 800.000 rifugiati sono fuggiti dal Myanmar per andare in Bangladesh. A marzo 2021 uno di questi campi profughi è stato colpito da un incendio: si contano 15 morti, e 900 persone tra feriti e dispersi.

La stessa Aung San Suu Kyi ha dichiarato alla Corte internazionale di giustizia dell’Aia che le accuse di genocidio sono un «quadro incompleto e fuorviante della situazione».

In contemporanea, l’esercito ha continuato a tenere il controllo sul Paese nascondendosi dietro la facciata della transizione democratica. La Costituzione del 2008 prevede infatti un ruolo di primo piano per l’esercito: un quarto dei seggi in tutte le assemblee provinciali e nazionali riservati agli ufficiali militari in servizio e i ministeri della Difesa, degli Interni e degli Affari di Frontiera riservati ad alti ufficiali militari nominati dal comandante in capo.

In passato Telenor era già stata coinvolta in inchieste giudiziarie e giornalistiche a seguito di operazioni in Stati autoritari. Nel 1998, ad esempio, Telenor ha acquistato una quota minoritaria della società di telecomunicazioni russa VimpelCom. Secondo un’inchiesta del 2014 del quotidiano norvegese Klassekampen in collaborazione con il consorzio di giornalisti investigativi OCCRP, nel 2007 VimpelCom ha inviato denaro a un’azienda controllata da Gulnara Karimova, figlia dell’allora presidente dell’Uzbekistan Islam Karimov. Quei soldi sono serviti per acquistare le licenze per le telecomunicazioni.

Nel 2015 l’ex amministratore delegato di VimpelCom è stato arrestato con l’accusa di corruzione in un’indagine da parte delle autorità statunitensi, svizzere e olandesi. A novembre 2017 queste accuse sono cadute. Nel frattempo VimpelCom – che ha cambiato nome in Veon – ha ammesso nel 2016 di aver pagato più di 114 milioni di dollari in tangenti e ha accettato di pagare una sanzione di 795 milioni di dollari per risolvere le relative indagini statunitensi e olandesi.

Inoltre, un’altra inchiesta di Klassekampen ha rivelato che, oltre alla corruzione, VimpelCom ha sponsorizzato la raccolta annuale di cotone in Uzbekistan, facendo donazioni al regime di Karimov. L’Ong Human Rights Watch ha equiparato queste raccolte di cotone a veri e propri lavori forzati.

Gli operatori telefonici in Myanmar giocano un ruolo importante nella repressione, in particolare i due operatori nazionali MPT e Mytel, entrambi vicini al governo e all’esercito.

Per certi versi Telenor sembrava offrire una speranza di protezione dalla sorveglianza. Pur avendo cercato di resistere alla richiesta di fornire sorveglianza in tempo reale, però, Telenor è stata costretta a consegnare i dati degli utenti come gli indirizzi e la cronologia delle chiamate, come rivelato da un’inchiesta della testata danese Danwatch in collaborazione con Frontier Myanmar e grazie alle informazioni di una fonte interna alla polizia birmana.

Da quando è entrata nel mercato birmano, Telenor è obbligata a condividere i dati dei propri utenti come ad esempio lo storico delle chiamate effettuate, il documento d’identità usato per registrare la SIM card e la posizione – ma non i contenuti delle conversazioni. Queste informazioni possono essere richieste a fini di indagine ma, in una situazione di quasi-guerra civile, potrebbero essere facilmente usati anche per reprimere l’opposizione. Una situazione simile avviene anche nei Paesi europei: in Italia gli operatori telefonici sono costretti a fornire le cosiddette “prestazioni obbligatorie di giustizia” per aiutare nelle attività di indagine.

Stando al report annuale pubblicato dalla stessa Telenor, nel 2020 l’azienda ha soddisfatto le richieste del governo birmano in 91 casi su 97. Danwatch sottolinea però che una richiesta può riguardare più persone e non è quindi chiaro quanti utenti fossero coinvolti.

Il futuro nelle mani della libanese M1 Group

Il nuovo proprietario di Telenor Myanmar desta però già preoccupazioni, come sottolineato in un articolo degli attivisti di Justice for Myanmar. M1 Group è stata fondata da Najib Mikati e da suo fratello Taha Mikati. Najib Mikati è stato due volte primo ministro del Libano nel 2005 e nel 2011. I due hanno fondato anche l’azienda Investcom con lo scopo di entrare nel mercato delle telecomunicazioni, espandendosi nei mercati dell’Africa occidentale e in altri Paesi del Medio Oriente.

Nel 2001 Investcom sbarca in Siria sotto il regime di Bashar al-Assad, in un momento in cui le atrocità del regime stavano già affiorando, sottolineano gli attivisti di Justice for Myanmar. E nel 2005 Investcom ha lanciato una rete mobile in Sudan, in un momento centrale della crisi in Darfur – proprio in quell’anno una squadra investigativa delle Nazioni unite aveva concluso che erano stati commessi crimini di guerra. Investcom si è poi fusa con MTN Group, un operatore mobile che opera in Africa, Asia e Europa, di cui M1 Group possiede la maggioranza delle azioni.

M1 Group possiede una quota anche in Irrawaddy Green Towers (IGT), una delle maggiori società di torri telefoniche del Myanmar. Come ricostruito dagli attivisti di Justice for Myanmar, IGT ha firmato un accordo con Mytel nel luglio 2017 per concedere l’utilizzo delle proprie torri telefoniche. Per gli attivisti quindi IGT sostiene gli affari dell’esercito del Myanmar ed è legata ai suoi crimini.

«Telenor è entrata in Myanmar perché credevamo che l’accesso a servizi mobili a prezzi accessibili avrebbe sostenuto lo sviluppo e la crescita del Paese», ha dichiarato il Presidente di Telenor nel comunicato di annuncio della vendita. Ora quella stessa infrastruttura potrebbe essere utilizzata esclusivamente per lo sviluppo e la crescita della sorveglianza.

Foto: la polizia del Myanmar in tenuta antisommossa a Taunggyi, Myanmar, il 28 febbraio 2021 – R. Bociaga/Shutterstock | Editing: Lorenzo Bagnoli

0Shares

L’export dei software di sorveglianza fra triangolazioni e opacità

15 Giugno 2021 | di Luca Rinaldi

La vicenda riportata ieri, 14 giugno, da IrpiMedia nell’ambito di una inchiesta internazionale sull’export di tecnologia a doppio uso (beni che possono essere utilizzati sia a scopo civile, sia militare) riapre, o dovrebbe riaprire, un dibattito rimasto sopito da ormai un decennio: come è possibile che beni di questo tipo finiscano da Paesi dell’Unione europea a Paesi inseriti nelle blacklist internazionali perché ritenuti autoritari, come lo è oggi il Myanmar?

Il materiale venduto riguarda in sostanza tecnologie di tracciamento e mappatura per il monitoraggio delle comunicazioni. Software che possono localizzare e in molti casi osservare il contenuto di telefoni cellulari e dispositivi connessi alla rete. Applicazioni con cui oggi si combatte, nei Paesi autoritari, la guerra al dissenso politico. Sono queste le applicazioni che permettono a eserciti o gruppi paramilitari di localizzare manifestanti, attivisti, giornalisti e dissidenti andandoli a stanare per reprimere le rivolte nel sangue, come testimoniano gli 805 morti in Myanmar dall’inizio dell’anno.

L’inchiesta

Myanmar, lo Stato di sorveglianza che aggira l’embargo dell’Ue

Il blocco europeo vieta l’export di beni dual use e altre tecnologie in quanto possibili strumenti di repressione. Documenti dei ministeri birmani però mettono in dubbio che sia stato rispettato

Dalla guerra civile in Siria in poi la vendita di questa tipologia di software a Paesi nella lista nera dell’Unione europea è un tema ricorrente, anche perché a costituire la base legale di tali transazioni commerciali c’è il trattato di Wassenaar. Quaranta Paesi a partire dal 2011 si accollano il controllo del movimento di questa tipologia di beni validi sia per scopi civili sia per scopi militari per la prevenzione della proliferazione di materiali potenzialmente pericolosi. Non a caso nel trattato a fianco a una lista riguardante munizioni e oggetti con chiari scopi militari ce n’è una al cui interno ricadono proprio i sistemi elettronici e le applicazioni di cui abbiamo scritto.

Il problema nel corso di questo decennio sono state però non le vendite dirette a Paesi in lista nera da parte dei produttori europei, ma le triangolazioni. Un esempio: un produttore italiano vende tecnologia dual-use a un Paese in cui è autorizzata a farlo e quest’ultimo funge di fatto da intermediario rivendendo il prodotto a un Paese che per l’Unione europea è sotto embargo (e dunque non potrebbe ricevere il prodotto direttamente dall’Italia), ma non lo è per il Paese che ha originariamente acquistato il bene dall’Italia.

Le tecnologie digitali dual-use

Per tecnologie digitali dual-use si intendono quelle tecnologie che possono essere usate sia per scopi civili sia militari. Alcuni esempi di tecnologie dual-use sono quelle che permettono di intercettare le comunicazioni telefoniche, gli spyware che possono intrufolarsi negli smartphone, ma anche tecnologie per eludere la cifratura e le password utilizzate per proteggere i dispositivi da occhi indiscreti. In molti di questi casi, queste tecnologie possono sfruttare i cosiddetti zero-days, ovvero vulnerabilità dei software di cui neppure il produttore è a conoscenza. Non tutte le tecnologie digitali sono beni dual-use ma questo non vuol dire che ci siano minori rischi di abusarne.

Questo è in sostanza ciò che è accaduto nel caso del Myanmar con la italiana SecurCube. Non risultano infatti nei report annuali pubblicati dal governo sull’export di armamenti licenze rilasciate per l’esportazione verso il Myanmar negli ultimi due anni. Tracciare la vendita è sicuramente complicato e probabilmente una richiesta di maggiore responsabilizzazione in capo ai venditori pare essere sacrosanta, ma allo stesso tempo non si può fingere che i meccanismi di controllo istituzionali messi in campo da governi e Unione europea siano sufficienti e soprattutto attuali.

Ci sarà occasione a livello politico di tornare sul tema nelle prossime settimane quando, come annunciato ieri, 14 giugno, il deputato Filippo Sensi presenterà una interrogazione parlamentare sulla vicenda che abbiamo riportato. Una riflessione quanto mai necessaria viste le “armi spuntate” del controllo delle licenze all’interno delle triangolazioni. Non c’è una ricetta per risolvere un problema di tale portata, soprattutto in tema di software, ma la presa di coscienza che rivedere la filiera di controllo (oggi in mano all’Unità per le autorizzazioni dei materiali di armamento [UAMA] del Ministero degli Esteri) deve essere un tema all’ordine del giorno dell’agenda politica sarebbe già un grande passo avanti.

In ultimo si pone poi un grande tema di trasparenza applicata a macchia di leopardo in tutta l’Unione europea. Una quota di Paesi, tra cui l’Italia, avvolge di segretezza l’intero mercato ritenendolo tout-court ricompreso nel perimetro della sicurezza nazionale, con qualche lamentela perfino di produttori e venditori, altri che invece rendono disponibili i dati sulle licenze di esportazione completamente aperte al pubblico. Pur agendo all’interno di un quadro legale comune e comunitario le applicazioni della stessa normativa sono disomogenee. Una disomogeneità che crea opacità.

Editing: Lorenzo Bagnoli | Foto: Mathew Schwartz/Unsplash

0Shares

Myanmar, lo stato di sorveglianza che aggira l’embargo dell’Ue

#EuArms

Myanmar, lo stato di sorveglianza che aggira l’embargo dell’Ue

Riccardo Coluccini
Lighthouse Reports

Afebbraio 2021, la giunta militare del Myanmar ha ripreso il controllo del Paese con un colpo di Stato. L’esercito, anche noto con il nome di Tatmadaw, ha incarcerato i principali leader del partito di maggioranza, represso nel sangue le proteste, arrestato i manifestanti e gettato il Paese in una guerra civile che è sempre più grave.

La violenza ha invaso sia le strade sia il mondo digitale: giovani membri dell’esercito hanno iniziato a postare video su TikTok in cui minacciano la popolazione. Il premio Nobel del 1991 Aung San Suu Kyi, tornata alla guida del Paese nel 2011, si trova agli arresti domiciliari in attesa di essere processata.

I documenti del bilancio di previsione del Dipartimento di Information Technology and Cyber Security (ITCSD) del Ministero dei Trasporti e Comunicazioni (MOTC) del Myanmar mostrano come tra le tecnologie a disposizione della giunta militare ce ne siano diverse anche di provenienza europea, nonostante l’embargo vigente nei confronti del Paese. I documenti sono stati forniti dagli attivisti del gruppo Justice for Myanmar a Lighthouse Reports (LHR) e analizzati da IrpiMedia in un’inchiesta congiunta con LHR, The Intercept, Al Jazeera e OCCRP. L’ITCSD era intenzionato ad acquistare una tecnologia prodotta dall’azienda italiana SecurCube. Secondo l’azienda, contattata in precedenza da Il Manifesto, non ci sarebbe stata alcuna vendita diretta ma è possibile sia finito qualcosa grazie a rivenditori terzi.

Nel XXI secolo la gestione dei conflitti e la repressione interna del dissenso poggiano sempre più spesso sulle tecnologie per la sorveglianza digitale. Le armi da fuoco sono quindi affiancate da strumenti digitali che permettono di individuare gli oppositori, smascherare la loro rete di contatti, conoscere ogni loro movimento e hackerare i dispositivi per sottrarre documenti e foto.

Alcune di queste tecnologie sono considerate beni dual-use, ovvero che possono essere utilizzati sia per scopi civili sia militari. Per questo motivo devono essere soggette a stretti controlli sull’esportazione ed è prerogativa delle Autorità nazionali concedere o meno la licenza per l’export alle singole aziende che ne fanno richiesta. L’incessante sviluppo tecnologico, però, rischia di allargare ancora di più le crepe della già complessa regolamentazione sulle tecnologie dual-use, con il rischio che molte tecnologie possano passare inosservate eludendo ogni controllo, malgrado ci sia il rischio di abusarne.

Costruisci con noi l’informazione che meriti!

Sostieni l’edizione 2021 di IrpiMedia
I risultati della collaborazione tra giornali internazionali

Questa inchiesta è basata sui dati ricavati dai bilanci di previsione di diversi ministeri birmani ottenuti da Lighthouse Reports (LHR) e condivisi con IrpiMedia, The intercept, OCCRP e Al Jazeera. Secondo una fonte birmana che ha chiesto l’anonimato per paura di ritorsioni, in fase di revisione non è stato possibile impedire l’approvazione dei bilanci, malgrado alcuni prodotti di cui era previsto l’acquisto destassero chiaramente preoccupazioni.

Questi sono i principali risultati delle inchieste condotte dai giornali che hanno collaborato con Lighthouse Reports:

  • Il Ministero degli Interni (MOHA) e quello dei Trasporti e delle Comunicazioni (MOTC) del Myanmar hanno stanziato decine di milioni di dollari per l’acquisto di una vasta gamma di strumenti, più di 40 aziende occidentali sono presenti nelle pagine dei bilanci che si riferiscono a un periodo che va dal 2018 al 2021;
  • Molte di queste aziende offrono prodotti per l’informatica forense, cioè strumenti utilizzati nell’ambito delle indagini penali. Si tratta, ad esempio, di software come MacQuisition di BlackBag Technologies, utilizzato per l’estrazione e analisi di dati dai computer Apple, oppure quelli realizzati da Cognitech, azienda specializzata californiana, allo scopo di elaborare e analizzare i video ripresi dalle telecamere a circuito chiuso o dai telefoni;
  • L’azienda svedese MSAB ha confermato di aver venduto quattro prodotti con “funzionalità ristrette” nel 2019. L’espressione potrebbe essere usata per definire strumenti che non rientrano nella categoria di beni a duplice uso perché privi di specifiche capacità. Secondo documenti ottenuti da LHR, MSAB avrebbe richiesto all’autorità svedese, l’Inspektionen för strategiska produkter (ISP), un’autorizzazione per esportare in Myanmar nel 2018 e l’ISP ha confermato che non c’è stata un’approvazione. L’ISP ha richiesto ulteriori dettagli a MSAB solo dopo che il New York Times e altre testate svedesi hanno portato alla luce la vicenda. Dai documenti ottenuti, per l’ISP la vendita sarebbe legittima, ma i documenti non permettono di capire quali siano effettivamente i prodotti venduti;
  • Alcune delle aziende presenti nel bilancio hanno ricevuto fondi europei: la bielorussa Adani, la tedesca Qiagen, e la stessa MSAB. Qiagen ha ha ricevuto circa 500.000 euro tra il 2013 e 2015 nel progetto europeo MISAFE, finanziato con i fondi europei del FP7 Security e ha confermato a The Intercept la vendita al Myanmar di due prodotti nel 2019 che sono utilizzati nelle attività forensi per la frantumazione di campioni nelle analisi molecolari. Adani ha ricevuto circa 450 mila euro tra il 2016 e il 2019 come membro nel progetto MESMERISE finanziato con i fondi di Horizon 2020 e produce scanner a raggi X e sistemi intelligenti per individuare armi, sostanze stupefacenti ed esplosivi. MSAB ha ottenuto circa un milione di euro all’interno del programma Horizon 2020 per il progetto FORMOBILE, per creare nuovi strumenti per l’acquisizione di dati precedentemente non disponibili.

L’Europa ha aggiornato nel 2018 il proprio regolamento concernente le restrizioni nei confronti del Myanmar, espandendo l’embargo non solo alle tecnologie dual-use ma anche a tutta una serie di strumenti che potrebbero essere utilizzati per favorire la repressione interna. Stando al regolamento, tecnologie simili a quella di SecurCube non dovrebbero finire in Myanmar. Il Ministero dei Trasporti e delle Comunicazioni collabora attivamente con il Ministero degli Interni birmano, come IrpiMedia ha potuto ricostruire grazie a presentazioni pubblicate online e ripercorrendo la storia delle repressioni digitali nel paese. Il Ministro degli Interni è scelto direttamente dal capo dell’esercito secondo quanto previsto dalla nuova Costituzione del Myanmar del 2008.

L’occhio dell’antenna: cosa fa la tecnologia di SecurCube e cosa ne pensa la Commissione Europea

Nel bilancio previsionale del MOTC relativo agli anni 2019-2020, all’interno di una lista di tecnologie per l’attività forense sugli smartphone, è indicato il prodotto BTS Tracker dell’azienda italiana SecurCube.

Il BTS Tracker è costituito da un’antenna, un’app per smartphone, un’applicazione sul web e un software per pc desktop. L’antenna permette di monitorare le frequenze radio e misurare la potenza del segnale per aiutare le forze dell’ordine nelle attività di indagine. Secondo pagine dei rivenditori e brochure pubblicate online, oltre a rilevare la posizione delle celle telefoniche ufficiali, il BTS Tracker individua anche fonti di segnali più deboli: in alcuni casi questi segnali potrebbero provenire da strumenti per la contro-sorveglianza ma anche da semplici sistemi per potenziare il segnale della rete telefonica. Sistemi del genere si usano ad esempio nelle cantine o in quegli edifici dove il segnale della rete telefonica fa fatica ad arrivare. Questo potrebbe permettere di localizzare la posizione di chi usa questi strumenti soprattutto in uno scenario dove le forze di polizia devono affrontare attivisti e oppositori che cercano di nascondersi per evitare gli arresti.

Software e hardware del BTS Tracker – Foto: Facebook/SecureCube

Prima del ritorno al potere della giunta militare, il Myanmar è stato al centro di una dura repressione nei confronti della popolazione Rohingya, un gruppo etnico di religione musulmana che vive in Myanmar e Bangladesh. La repressione militare ha costretto centinaia di migliaia di persone a fuggire dal Myanmar per finire in campi profughi in Bangladesh e le uccisioni e violenze contro i Rohingya hanno spinto le autorità internazionali a parlare di genocidio.

La situazione politica in Myanmar

Il Myanmar è un Paese del sud-est asiatico con una popolazione di circa 54 milioni di abitanti. Dopo aver ottenuto l’indipendenza dalla Gran Bretagna nel 1948 e aver formato un parlamento bicamerale, nel 1962 l’esercito compie un colpo di Stato che lascia il Paese sotto il controllo diretto dei militari fino al 2011. In quasi 50 anni, tra le violenze perpetrate dal Tatmadaw, nome con cui viene chiamato l’esercito birmano, ci sono le repressioni di proteste degli studenti negli anni ‘70 e il rifiuto dei risultati delle prime elezioni libere nel Paese avvenute nel 1990.

Solo nel 2011 il Tatmadaw inizia la transizione democratica cedendo il potere al governo civile, dopo l’introduzione nel 2008 di una nuova Costituzione. Questi sono gli anni in cui la premio Nobel Aung San Suu Kyi e il suo partito National League for Democracy (NLD) salgono al potere.

Il governo del NLD, però, pur segnando un’apertura al mondo esterno per il Paese, porta con sé ulteriori violenze: l’esercito e la polizia di frontiera hanno sottoposto la popolazione Rohingya – minoranza etnica di religione musulmana che vive nello stato del Rakhine, sulla costa ovest del Myanmar – a quello che le organizzazioni internazionali definiscono un vero e proprio genocidio.

Secondo alcune stime, almeno 6.700 Rohingya sono stati uccisi nel primo mese di violenze scoppiate nel 2017. Attualmente, più di 800.000 rifugiati sono fuggiti dal Myanmar per andare in Bangladesh. A marzo 2021 uno di questi campi profughi è stato colpito da un incendio: si contano 15 morti, e 900 persone tra feriti e dispersi.

La stessa Aung San Suu Kyi ha dichiarato alla Corte internazionale di giustizia dell’Aia che le accuse di genocidio sono un “quadro incompleto e fuorviante della situazione.”

In contemporanea, l’esercito ha continuato a tenere il controllo sul Paese nascondendosi dietro la facciata della transizione democratica. La Costituzione del 2008 prevede infatti un ruolo di primo piano per l’esercito: un quarto dei seggi in tutte le assemblee provinciali e nazionali riservati agli ufficiali militari in servizio e i ministeri della Difesa, degli Interni e degli Affari di Frontiera riservati ad alti ufficiali militari nominati dal comandante in capo.

La possibilità di abusare di una tecnologia digitale, soprattutto se non dual-use, dipende moltissimo dalle condizioni in cui viene usata. Basti pensare che persino i social network possono giocare un ruolo cruciale: il Presidente della U.N. Independent International Fact-Finding Mission on Myanmar (con il mandato di stabilire i fatti delle presunte violazioni dei diritti umani e gli abusi da parte delle forze militari e di sicurezza in Myanmar, ndr) ha dichiarato che Facebook ha giocato «un ruolo determinante» nel genocidio dei Rohingya.

In Myanmar, però, la repressione già si era spinta oltre in passato: nel 2017 due giornalisti di Reuters erano stati arrestati dalla polizia con l’accusa di aver violato le leggi sul segreto di Stato durante il loro lavoro sulle atrocità contro la minoranza musulmana Rohingya. Come riportato dal Washington Post nel 2019, e dal giornale indiano Mizzima nel 2018, la polizia ha esaminato i dati contenuti nei cellulari dei giornalisti sfruttando la tecnologia per l’estrazione forense prodotta da Cellebrite, azienda con base in Israele e che è già stata al centro delle critiche delle associazioni per i diritti umani perché utilizzata da regimi autoritari contro attivisti politici.

Nel caso del BTS Tracker, SecurCube precisa sul proprio sito che il prodotto non è usato per «intercettare le comunicazioni» ma per costruire una mappa con tutte le fonti che emettono un segnale cellulare nell’area circostante: un occhio che vede le onde elettromagnetiche. L’app e il software per pc permettono di gestire le misurazioni e il sito web permette di analizzare i dati raccolti. Come descritto in uno studio del 2016 pubblicato da Nicola Chemello, CEO dell’azienda, una volta individuata la cella telefonica più probabile a cui il cellulare di un sospetto si è connesso quando era sulla scena del crimine, le forze dell’ordine possono chiedere all’operatore telefonico di fornire i dettagli su tutti i cellulari che erano connessi alla cella. A quel punto si può risalire facilmente all’identità del sospetto.

#EuArms

Prelati e mediatori per portare armi italiane in Polonia

Con l’arrivo di Andrzej Duda al potere in Polonia salta l’accordo del precedente governo con la francese Airbus per la vendita di elicotteri militari. Il nuovo appalto viene vinto da Leonardo. Tra i due eventi, le lettere di Mario Benotti e Zygmunt Zimowski

Le armi tedesche alla Russia

Rheinmetall, primo produttore di armi in Germania, è entrata nel mercato russo con una commessa di oltre 100 milioni di euro. Un pagamento di oltre cinque milioni di euro potrebbe aver facilitato l’accordo

Nel 2018, alla luce delle continue violazioni dei diritti umani, incluse le violenze e gli stupri da parte dell’esercito nello Stato del Rakhine ai danni dei Rohingya, il Consiglio dell’Unione europea inasprisce l’embargo contro il Myanmar: insieme ai beni a duplice uso sono incluse anche tutta una serie di tecnologie digitali per il monitoraggio delle comunicazioni che possono essere usate «a fini di repressione interna» sia dall’esercito che da ogni altro ramo del Governo. Tra le categorie indicate, vi sono anche tecnologie per il «monitoraggio delle frequenze radio».

Secondo una portavoce della direzione generale della Stabilità finanziaria, servizi finanziari e Unione dei mercati dei capitali della Commissione Europea, contatta via email da IrpiMedia, questa categoria si riferisce a quegli strumenti di «contro-sorveglianza passiva, destinati ad esempio a contrastare i mezzi di intercettazione segreta dei canali radio». Vi rientrano quindi anche sistemi «per misurare la potenza del segnale delle torri cellulari, anche quando tali sistemi consentono di individuare con precisione la posizione di qualcuno che utilizza femtocelle/stazioni base portatili». Femtocelle e stazioni base portatili sono strumenti che possono essere usati per potenziare il segnale cellulare. La tecnologia venduta da SecurCube rientrerebbe nelle tecnologie per il monitoraggio delle frequenze radio.

La portavoce sottolinea però che «per quanto riguarda le informazioni complete su ciò che può e non può essere esportato e sulle specifiche tecniche delle merci, solo le autorità nazionali competenti possono fornire una risposta».

IrpiMedia ha contattato l’Unità per le autorizzazioni dei materiali di armamento (UAMA) del Ministero degli Esteri (MAECI) per capire come interpreta il regolamento e se ritiene che il prodotto di SecurCube possa essere esportato in Myanmar. Alla nostra richiesta di chiarimenti, l’UAMA e la Segreteria Stampa non hanno ancora risposto.

LHR ha raccolto le testimonianze di persone detenute e poi rilasciate dalla giunta militare nei giorni delle proteste e altre persone che vivono nel Paese. Dalle informazioni raccolte emerge un generale timore che l’esercito possa essere in grado di individuare la posizione esatta delle persone che si stanno nascondendo per evitare gli arresti del regime.

Secondo le stime della Assistance Association for Political Prisoners (AAPP), un’organizzazione per i diritti umani che si occupa dei prigionieri politici in Myanmar e sta seguendo da vicino l’evolversi del colpo di Stato, al momento della scrittura di questo articolo ci sarebbero quasi duemila persone in fuga sulla cui testa pende un mandato di arresto—si va dalle accuse per aver partecipato e supportato le proteste fino all’iscrizione in quella che è chiamata “lista 505A” per le persone che hanno manifestato il proprio dissenso online, la lista prende il nome dal relativo articolo del codice penale birmano.

In Myanmar la repressione non è solo nelle mani dell’esercito

La scelta dell’Unione Europea di ampliare le tecnologie soggette all’embargo sembra voler tenere in considerazione il fatto che, di fronte all’evoluzione delle tecnologie digitali, la possibilità di abuso dipende moltissimo dalla struttura del paese che le vuole utilizzare. Il testo infatti parla esplicitamente di repressione interna «da parte del governo del Myanmar, enti pubblici, società o agenzie, o qualsiasi persona o entità che agisce per loro conto o sotto la loro direzione». Non solo l’esercito, quindi.

Nel caso del Myanmar, il Ministero dei Trasporti e delle Comunicazioni è stato infatti un soggetto attivo nella repressione della popolazione.

Secondo una presentazione rinvenuta online da IrpiMedia che si è svolta a giugno 2017, all’interno della Conferenza Regionale sul Cybercrime 2017 organizzata dal Dipartimento di Giustizia delle Filippine in collaborazione con l’organizzazione internazionale Consiglio d’Europa nell’ambito di un progetto congiunto con l’Unione Europea, il MOTC collabora con la polizia e il Ministero degli Interni birmano. La presentazione, che riporta il nome di una ufficiale del Dipartimento per il crimine organizzato transnazionale e risalente al 2017, delinea la situazione del crimine informatico in Myanmar, sottolineando le sfide e le soluzioni messe in atto dalla polizia. In una slide dove si sottolineano i partner che aiutano nelle indagini, è indicato anche il Ministero dei Trasporti e delle Comunicazioni.

Una slide della polizia birmana rinvenuta online

Queste slide sembrano essere una versione simile a quelle pubblicate dal Washington Post nel 2019, entrambe le presentazioni includono infatti fotografie di tecnologie prodotte da Cellebrite e altre aziende simili per l’estrazione forense.

Ma il MOTC non è solamente un gregario, si trova in prima linea per quanto riguarda la repressione digitale. Secondo un report di Open Technology Foundation dal titolo The Rise of Online Censorship and Surveillance in Myanmar il Ministero ha investito 4.6 milioni di dollari nel 2017 per costruire un Social Media Monitoring Team (SMM), una squadra di spie dei social. Secondo alcuni articoli della stampa locale, malgrado l’obiettivo iniziale del sistema fosse quello di bloccare l’hate speech e la disinformazione online, alla fine il SMM ha colpito maggiormente le piattaforme legate all’opposizione.

Lo stesso MOTC gestisce gli internet shutdown – le interruzioni di accesso alla rete in questo caso per mano delle autorità governative – che colpiscono duramente la popolazione birmana. Prima di questo golpe, il MOTC aveva già messo in piedi una delle sospensioni più longeve al mondo, durata per più di un anno a partire dal giugno del 2019. La censura ha colpito lo Stato del Rakhine, dove risiede la popolazione Rohingya. Lo shutdown è stato nuovamente inasprito in questi mesi e interessa l’intero Myanmar: la giunta ha ordinato la sospensione della connettività internet mobile, lasciando a disposizione solo le connessioni in fibra ottica. Questa scelta ha colpito duramente la vita delle persone che si trovano in aree rurali dal momento che, come riportano alcuni analisti, le connessioni via cavo si trovano principalmente nei grandi centri abitati come Yangon, la più grande (e famosa) città birmana. Inoltre, la maggior parte delle connessioni in fibra sono gestite da un’unica azienda, Mytel, nata come joint venture tra due aziende di Stato controllate rispettivamente dai Ministeri della Difesa vietnamita e birmano.

Striscia di sangue

Il numero di morti in Myanmar dall’inizio delle repressioni nel 2021

Per una tecnologia come quella di SecurCube, che misura i segnali delle celle telefoniche dei diversi operatori e facilita le operazioni della polizia che precedono l’invio di richieste di dati sugli utenti connessi alla rete, il controllo del Governo sugli operatori dovrebbe essere un fattore da tenere in considerazione.

All’apertura del mercato interno, le aziende straniere si sono dovute adeguare alle richieste del governo. Telenor, azienda di telecomunicazioni norvegese che è entrata nel mercato birmano nel 2014, è una dei quattro operatori telefonici in Myanmar, assieme a Ooredoo del Qatar, Myanmar Posts and Telecommunications (MPT) e a Mytel. Telenor si trova nella situazione di dover accettare ordini di rimozione e blocco di pagine internet ma non poter più pubblicare i decreti ricevuti dal Ministero. Telenor sottolinea che, pur essendo tenuta a seguire gli ordini delle autorità, questa situazione sta avendo un impatto negativo sui diritti umani in Myanmar e ora si trova davanti a un dilemma sulla propria presenza nel Paese: a fronte di una perdita di Telenor Myanmar stimata in 6,5 miliardi di corone norvegesi—quasi 7 milioni di euro—per il 2021, l’azienda vede limitate prospettive di miglioramento in futuro.

L’editoriale

L’export dei software di sorveglianza fra triangolazioni e opacità

Senza rivedere la filiera autorizzativa su licenze ed esportazioni dei beni a doppio uso il sistema rischia di essere obsoleto e i casi Myanmar si moltiplicheranno

Il desiderio di controllare le telecomunicazioni è ulteriormente sottolineato da altre voci nel budget del MOTC analizzate da IrpiMedia. Si parla infatti di un sistema di intercettazione per traffico dati e telefonico, incluso il nome degli operatori telefonici che lo avrebbero dovuto installare. Sistemi che sembrano essere stati installati secondo quanto ricostruito da Reuters e secondo quanto confermato a LHR da una fonte che conosce le attività degli operatori telefonici in Myanmar. Una prima versione del sistema è presente nel budget del MOTC per gli anni 2019-2020, mentre quella che viene chiamata “fase due” è inclusa nel budget 2020-2021.

Il Myanmar sembra avere a tutti gli effetti le intenzioni di diventare uno Stato di sorveglianza. Intenzioni già emerse in passato quando l’azienda di sicurezza informatica Kaspersky ha rilevato la presenza di uno spyware in Myanmar a giugno 2019: si trattava di una nuova versione di uno spyware già noto e in grado di infettare sia smartphone Android che Apple per raccogliere dati relativi ai contatti, ai messaggi, alle posizioni GPS, e registrare anche le chiamate fatte con Skype o WhatsApp.

Premi Nobel, indifferenza e maglie del regolamento Ue troppo larghe

Nelle dichiarazioni rilasciate a Il Manifesto, SecurCube dichiara che nel 2019 «non c’era nessun vincolo che ci avrebbe impedito di vendere», un approccio che sembra essere stato adottato anche da un’altra azienda europea presente nei bilanci dei Ministeri del Myanmar. L’azienda svedese MSAB, contattata in precedenza dal New York Times, ha confermato che alcuni prodotti sono finiti in Myanmar negli anni passati. Successivamente l’azienda svedese ha chiarito in un post sul proprio sito di aver venduto quattro sistemi alla polizia «quando il premio Nobel per la pace Aung San Suu Kyi guidava il Paese». Secondo l’azienda quei sistemi non sono in grado di ricreare i file cancellati e non possono bypassare le password di blocco degli smartphone.

Glossario

Tecnologie digitali dual-use: per tecnologie digitali dual-use si intendono quelle tecnologie che possono essere usate sia per scopi civili sia militari. Alcuni esempi di tecnologie dual-use sono quelle che permettono di intercettare le comunicazioni telefoniche, gli spyware che possono intrufolarsi negli smartphone, ma anche tecnologie per eludere la cifratura e le password utilizzate per proteggere i dispositivi da occhi indiscreti. In molti di questi casi, queste tecnologie possono sfruttare i cosiddetti zero-days, ovvero vulnerabilità dei software di cui neppure il produttore è a conoscenza. Non tutte le tecnologie digitali sono beni dual-use ma questo non vuol dire che ci siano minori rischi di abusarne.

Spyware: un software o malware utilizzato per rubare di nascosto i dati presenti sullo smartphone. Le forze dell’ordine li utilizzano durante le indagini per estrarre screenshot delle chat, registrare da remoto le conversazioni attraverso il microfono del dispositivo, e per copiare file e documenti. In moltissimi casi questa tecnologia è stata utilizzata anche contro giornalisti, attivisti, e dissidenti politici.

Internet shutdown: sempre più spesso gli Stati ricorrono alla soluzione drastica di bloccare la possibilità di accedere a internet in determinate zone di un paese oppure per tutta la popolazione. Questi blocchi possono essere totali oppure riguardare solo alcuni siti web specifici o social network. Il rischio è quello di bloccare la libertà di espressione della popolazione e impedire di avere accesso a informazioni che possono essere vitali: pensiamo ad esempio ai rischi del blocco di internet durante le proteste o in un periodo come quello della pandemia di Covid-19 dove la possibilità di accedere a informazioni sulla salute è di vitale importanza.

Costruisci con noi l’informazione che meriti!

Sostieni l’edizione 2021 di IrpiMedia

L’impressione è che MSAB e SecurCube stiano cercando di sminuire le capacità effettive dei propri sistemi e, allo stesso tempo, di giustificare le proprie scelte sulla base della presenza del premio Nobel per la pace nel 1991 Aung San Suu Kyi, come se si trattasse di una sorta di lasciapassare.

«Non sono sicura di quanto la leadership di Aung San Suu Kyi sia rilevante in questo caso, dato che lo scopo del regime di controllo delle esportazioni dell’Ue è quello di prevenire l’uso improprio delle tecnologie per le violazioni dei diritti umani all’estero – ha spiegato a IrpiMedia Natalia Krapiva, consulente legale dell’associazione Access Now -. Se guardiamo alla situazione dei diritti umani nel Paese sotto la sua guida, si nota che non è in buono stato e la persecuzione dei musulmani Rohingya avrebbe dovuto essere un’enorme campanello d’allarme».

Da un’analisi dei report annuali sugli export pubblicati dal governo italiano, non risultano licenze rilasciate per esportare in Myanmar tra il 2017 e il 2019. Se quindi non c’è stata alcuna vendita diretta, potrebbero essere effettivamente coinvolte aziende terze.

In questo caso quindi saremmo di fronte a una triangolazione: l’azienda non ha venduto direttamente al Myanmar ma l’avrebbe fatto un suo rivenditore, espediente usato da aziende di armi tradizionali, come sottolineato da Rete Italiana Pace e Disarmo. Questo rende più difficile tracciare la vendita ma allo stesso tempo pone interrogativi importanti sul controllo esercitato dalle aziende sui propri rivenditori. Non sempre fingere di non sapere chi ha venduto un prodotto può essere sufficiente per essere esonerati da ogni responsabilità. Nel caso delle tecnologie digitali, infatti, quei sistemi potrebbero prevedere dei sistemi per disattivarli da remoto qualora fossero finiti nelle mani di un Paese sotto embargo.

Alcuni dei rivenditori di SecurCube sono presenti anche nel bilancio previsionale del MOTC, in particolare le statunitensi SUMURI e MediaClone. Entrambe queste aziende sono indicate come fornitori principali sul sito di MySpace International, azienda birmana già finita al centro di inchieste giornalistiche perché ha venduto i prodotti di Cellebrite utilizzati contro i giornalisti di Reuters arrestati dalla polizia in Myanmar nel 2017. Il sito non è più raggiungibile dopo le inchieste pubblicate negli scorsi anni ma è stata archiviata una versione della pagina. LHR e IrpiMedia hanno scoperto che MySpace International si è aggiudicata un bando di ottobre 2020 che include tecnologie prodotte da MSAB e BlackBag – azienda di proprietà di Cellebrite. Il bando è stato indetto dal Bureau of Special Investigation ovvero i servizi segreti nazionali del Myanmar.

IrpiMedia ha individuato dal sito di SecurCube alcuni documenti che spiegano le procedure di attivazione delle licenze per il software che gestisce l’antenna: chi attiva il software deve inviare un’email a SecurCube. Nei documenti è indicata anche un’app per gestire le misurazioni. Un riferimento alla stessa app è presente in un video di presentazione di settembre 2020 caricato su YouTube. Al momento però l’app sembra essere scomparsa sia dal sito del BTS Tracker che dal Play Store di Google.

IrpiMedia ha inviato una serie di domande a SecurCube per chiarire se sia stata avviata un’indagine interna sui propri rivenditori e, qualora i prodotti siano effettivamente stati venduti, se sia possibile rintracciare eventuali utenti registrati dal Myanmar che stanno utilizzando i sistemi e bloccare le licenze. Al momento della pubblicazione di questo articolo non abbiamo ancora ricevuto risposta. Richieste di commento sono state inviate anche a SUMURI e MediaClone ma anche in questo caso non abbiamo ricevuto risposta.

«Leggendo il testo dell’embargo si deduce che copre tecnologie che potrebbero essere usate per l’oppressione interna e fondamentalmente tutto ciò che va ai militari o ai paramilitari – e questo rende l’embargo estremamente ampio», ha spiegato a LHR Pieter D. Wezeman,  ricercatore dello Stockholm International Peace Research Institute (SIPRI).

Dopo cinque mesi dal colpo di Stato, l’attenzione internazionale sul Myanmar sembra scemare. Se le preoccupazioni per la sorveglianza digitale sembrano essere passate in secondo piano, per l’Europa però rimane il problema di come esercitare un controllo efficace sulle tecnologie digitali che possono aiutare a violare i diritti umani.

A marzo 2021 il Parlamento Europeo ha approvato nuove regole per la vendita e l’esportazione di beni a duplice uso, introducendo anche le tecnologie di sorveglianza digitale e strumenti come il riconoscimento facciale, e nuovi obblighi per le autorità nazionali.

Per Access Now e una coalizione di associazioni che si occupano di diritti umani, tra cui Amnesty International e Privacy International, il regolamento rischia però di essere un’occasione mancata, come sottolineano in un comunicato: «Gli Stati membri dell’Ue e la Commissione devono spingersi oltre il nuovo compromesso per rispettare gli obblighi internazionali in materia di diritti umani e garantire che la continua esportazione di sofisticati strumenti di sorveglianza da parte delle aziende dell’UE non faciliti le violazioni dei diritti umani delle persone in tutto il mondo».

CREDITI

Autori

Riccardo Coluccini
Lighthouse Reports

In partnership con

Lighthouse Reports
The Intercept
Al Jazeera
OCCRP
Domani

Infografiche & Mappe

Lorenzo Bodrero

Editing

Lorenzo Bagnoli

Share via